Re: syslog-Management fuer Kompatibilitaet mit Debian-Mechanismen
On Sat, 21 Jul 2007 11:01:02 +0200, Jan Hauke Rahm
<info@jhr-online.de> wrote:
>On Sat, Jul 21, 2007 at 09:40:41AM +0200, Marc Haber wrote:
>[Eigenes Logging]
>> Wie ist Eure Meinung dazu?
>
>Ehrlich gesagt sehe ich den Sinn nicht,
Meine Argumente hast Du ja praktischerweise weggeschnitten. Deswegen
nochmal:
(1)
Ich schätze es, wenn ich alle Ereignisse auf dem System in _einer_
Datei sehe, weil ich die auch mal in einem less +F in einer Shell
mitlaufen lassen kann und es viel leichter fällt, unterschiedliche
Ereignisse miteinander in Relation zu setzen als wen die Logeinträge
auf zehn Dateien verteilt sind.
(2)
Wenn ich auf einem System ein paar hundert Megabytes an Logs habe, die
jeden Tag einen anderen Dateinamen kriegen, landen sie jeden Tag neu
im inkrementellen Backup. Wenn dieselben paar hundert Megabytes an
Logs Dateinamen der Marke syslog.yyyymmdd.gz haben, landen sie einmal
im inkrementellen Backup und danach nie wieder.
(3)
Wenn ich auf einem System ein paar hundert Logfiles liegen habe, die
jeden Tag einen neuen Dateinamen bekommen, brauche ich aufwendige
Ausnahmen in der aide-Konfiguration, wenn ich nicht alle diese Dateien
jeden Tag als "changed" for die Füße geworfen bekommen will. Diese
Ausnahmeregeln treffen typischerweise mehr als die wirklich
existierenden Dateien, so dass ich vermutlich eine von einem Angreifer
als /var/log/syslog/syslog.8765.gz hingeworfene Datei nicht im
aide-Log zu sehen bekomme.
Ich denke, dass ich nun meine Motivation für eine "abweichende"
Syslog-Konfiguration hinreichend dargelegt habe. Hast Du noch Fragen?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: